Eine Reihe bösartiger Android-Apps, die Mobilgeräte mit dem Betriebssystem in sogenannte „Residential Proxies“ (RESIPs) für andere Cyberkriminelle verwandeln, wurden im Google Play Store entdeckt. Diese Enthüllung stammt vom Satori Threat Intelligence-Team von HUMAN.
Betrügerische VPN-Apps mit versteckter Funktionalität
Die betroffenen Apps tarnten sich als VPN-Dienste und enthielten eine Go-Bibliothek, welche die Geräte der Nutzer ohne deren Wissen in Proxy-Knoten umwandelte. HUMAN bezeichnet diese Kampagne unter dem Codenamen „PROXYLIB“. Insgesamt 29 Apps dieser Art wurden von Google inzwischen aus dem Play Store entfernt.
Was sind Residential Proxies?
Residential Proxies sind ein Netzwerk von Proxy-Servern, die reale IP-Adressen von Internetdienstanbietern (ISPs) nutzen. Sie ermöglichen es Nutzern, ihre tatsächliche IP-Adresse zu verstecken, indem ihr Internetverkehr über einen Vermittlerserver geleitet wird.
Obwohl diese Anonymität durchaus legitime Anwendungsfälle haben kann, werden Residential Proxies häufig von Cyberkriminellen missbraucht:
- Verschleiern ihrer wahren Herkunft
- Durchführung verschiedenster Cyberangriffe
„Wenn ein Angreifer einen Residential Proxy nutzt, erscheint der Datenverkehr aus diesen Angriffen so, als käme er von unterschiedlichen Privat-IP-Adressen statt von einer IP eines Rechenzentrums oder anderer Teile der Angreifer-Infrastruktur“, erklären Sicherheitsforscher. „Viele Angreifer kaufen Zugang zu diesen Netzwerken, um ihre Operationen zu erleichtern.“
Wie werden Botnets aus Privatgeräten aufgebaut?
Manche dieser Proxy-Netzwerke werden von Malware-Betreibern aufgebaut, indem sie arglose Nutzer dazu bringen, kompromittierte Apps zu installieren. Diese Apps verwandeln die Geräte in Botnets, die dann gewinnbringend an andere Kunden weiterverkauft werden.
Die von HUMAN entdeckten Android-VPN-Apps kontaktieren einen Remote-Server, registrieren das infizierte Gerät im Netzwerk und verarbeiten anschließend Anfragen aus diesem Proxy-Netzwerk.
Die Rolle von LumiApps SDK
Ein Teil der identifizierten Apps, die zwischen Mai und Oktober 2024 analysiert wurden, enthielten das Software Development Kit (SDK) der Firma LumiApps – und damit die Proxy-Funktionalität. In beiden Fällen wird die schädliche Fähigkeit durch eine native Go-Bibliothek ermöglicht.
LumiApps bietet einen Service an, bei dem Nutzer eine beliebige APK-Datei hochladen und das SDK dort einbinden können, ohne ein Nutzerkonto anzulegen. Die so modifizierten Apps können dann heruntergeladen und weiterverbreitet werden.
Laut der Website von LumiApps „hilft das Unternehmen Firmen dabei, öffentlich verfügbare Informationen aus dem Internet zu sammeln. Dazu wird die IP-Adresse des Nutzers verwendet, um im Hintergrund mehrere Webseiten bekannter Anbieter zu laden. Dies geschieht auf eine Weise, die den Nutzer nicht stört und vollständig den GDPR/CCPA-Richtlinien entspricht. Die Webseiten werden anschließend an Unternehmen gesendet, die sie nutzen, um ihre Datenbanken zu verbessern und so bessere Produkte, Dienstleistungen und Preise anbieten zu können.“
Monetarisierung des Botnetz durch Entwickler-Anreize
Diese modifizierten Apps – sogenannte „Mods“ – werden dann innerhalb und außerhalb des Google Play Stores verbreitet. LumiApps bewirbt sein SDK als Alternative zur regulären App-Monetarisierung durch Werbung.
Es gibt Hinweise darauf, dass der Akteur hinter PROXYLIB Zugang zu dem von den infizierten Geräten gebildeten Proxy-Netzwerk über LumiApps und Asocks verkauft, einem Unternehmen, das sich als Anbieter von Residential Proxies bewirbt.
Um möglichst viele Apps mit dem SDK auszustatten und die Größe des Botnetz zu vergrößern, bietet LumiApps Entwicklern Bargeldprämien basierend auf der Menge des Datenverkehrs, der über installierte Apps geleitet wird. Der SDK-Service wird zudem in sozialen Medien und Foren für Cyberkriminelle beworben.
Kürzlich veröffentlichte Forschungen von Orange Cyberdefense und Sekoia charakterisierten Residential Proxies als Teil eines „fragmentierten, aber interconnected Ökosystems“. Darin werden Proxy-Dienste auf unterschiedliche Weise angepriesen – von freiwilligen Beiträgen bis hin zu dedizierten Shops und Wiederverkaufskanälen.
„[Im Fall von SDKs] ist die Proxy-Software oft in ein Produkt oder einen Service eingebettet“, stellen die Unternehmen fest. „Nutzer bemerken möglicherweise nicht, dass beim Akzeptieren der Nutzungsbedingungen der Hauptanwendung auch Proxy-Software installiert wird. Dieser Mangel an Transparenz führt dazu, dass Nutzer ihre Internetverbindung teilen, ohne dies klar zu verstehen.“
Andere neue Bedrohungen im Residential-Proxy-Bereich
Diese Entwicklung erfolgt zu einem Zeitpunkt, an dem die Lumen Black Lotus Labs enthüllten, dass nicht mehr unterstützte kleine Heim- und Büro-Router (SOHO) sowie IoT-Geräte von einem Botnet namens TheMoon kompromittiert werden. Dieses dient dazu, einen kriminellen Proxy-Dienst namens Faceless zu betreiben.
Tabelle: Top Residential Proxy-Dienste laut Sicherheitsforschern
| Dienst | Beschreibung |
|---|---|
| StratusCore | Kommerzieller Anbieter, Sitz in Litauen |
| LumiApps | SDK zum Einbetten von Proxy-Funktionen in Apps |
| HybridHTTPProxy | Kostenloses Open-Source-Projekt auf GitHub |
| ZiproNode | Anbieter in Russland |
| Gyfra | Börsennotierts Unternehmen, betreibt eigene Proxys |
